Quelle est la fiabilité de la signature numérique?

La fiabilité du processus détermine la valeur probante.
Il existe trois types de signature numérique :

  • La signature numérique ordinaire
  • La signature numérique avancée
  • La signature numérique qualifiée

La loi reconnaît la validité de ces trois types de signature, mais ils n’ont pas la même valeur probante. Par exemple, dans le cas d’une signature numérisée, il est toujours difficile, en cas de désaccord, de prouver que l’expéditeur est effectivement la personne qui a inséré la signature.

Cependant, une signature numérique avancée ou une signature numérique qualifiée permet de la savoir. Dans tous les cas, la valeur probante dépend de la fiabilité du processus de base.

La fiabilité du processus et la valeur probante sont déterminées par les éléments suivants :

  • Quelle est la pertinence des caractéristiques d’identification du signataire et quel est le niveau de contrôle exclusif du signataire ?
  • Les étapes du processus que l’utilisateur a effectuées avant de signer sont-elles clairement établies ?
  • À quel moment la signature a été effectuée et est-ce possible de le prouver à un moment ultérieur ?
  • Le document est-il conforme au format permettant de prouver que le document a été signé numériquement ?
  • Quel est le niveau d’efficacité du mécanisme utilisé pour lier de manière indissociable les données d’identification au document (association), le niveau de cryptographie, afin que le document ne puisse pas être modifié facilement ?

Caractéristiques d’identification pertinentes

Parmi les caractéristiques d’identification pertinentes sur Internet figurent l’adresse e-mail, l’adresse IP, le numéro de mobile ou le certificat qualifié. Il est également possible de « superposer » plusieurs caractéristiques d’identification, car leur combinaison renforce l’identification. Pour signer le message, le signataire doit avoir accès à ces moyens, il faut donc en tenir compte. En effet, un certificat qualifié peut avoir une plus haute valeur probante, mais, si les utilisateurs finaux n’y ont pas accès ou si le processus de demande nécessite plusieurs jours, les utilisateurs finaux ne pourront pas signer.

Étapes du processus de signature

Le processus de signature exige que le signataire connaisse le document qu’il est sur le point de signer. Quels documents sont présentés et le signataire a-t-il signé volontairement le document à un moment spécifique (intentionnellement) ?

Moment

Pour la fiabilité du processus de signature et la valeur probante, il faut aussi déterminer de façon indépendante le moment de la signature et l’inclure dans la signature proprement dite. Ceci permet d’éviter tout différend sur le moment de la signature ou sur l’insertion éventuelle de la signature à un moment ultérieur.

Norme technique PADES – XADES

Les normes de signature numérique et les exigences du règlement eIDAS font référence au format XADES ou PADES. Il s’agit de la norme technique qui définit la manière dont une signature numérique correcte peut être insérée dans le document au format PDF ou XML. Ces normes permettent à divers programmes informatiques tels qu’Adobe PDF Reader de vérifier de façon standard les signatures numériques. Elles permettent également de vérifier à tout moment ultérieur, d’une façon correcte et fiable, les signatures numériques dans les documents.

Attacher des caractéristiques d’identification au document

Pour attacher des caractéristiques d’identification au document, une clé PKI est nécessaire. Ce processus est également appelé « association ». Si l’utilisateur dispose d’un certificat qualifié sur un support sécurisé, il peut utiliser cette clé pour effectuer l’association. Dans les autres cas, l’association est effectuée avec une clé générique. Il est important que cette clé soit extrêmement bien protégée, par exemple sur la puce électronique d’une carte, sur une clé USB ou sur une boîte noire (HSM). Si cette clé n’est pas correctement protégée, des personnes non autorisées peuvent effectuer l’association. La longueur de la clé est aussi importante, car, avec une clé simple, l’association et le sceau peuvent être facilement rompus.

Toutes les signatures électroniques peuvent avoir une validité juridique et servir de preuve. Le simple fait qu’il s’agisse de signatures électroniques ou qu’elles ne répondent pas aux exigences relatives aux signatures électroniques qualifiées n’y change rien. Si la fiabilité du processus n’est pas correctement garantie, la valeur probante peut être faible même si un certificat qualifié est utilisé. La fiabilité du processus de signature doit être déterminée clairement, afin de permettre à une partie indépendante, comme un tribunal, de procéder à un contrôle.

A few of our success stories:

“Errors are a thing of the past since the introduction of digital signing”

“You must be able to determine with certainty who you’re dealing with and which bank account is used to take out a loan”